Оговорки в договорах при передаче персональных данных. Зачем они нужны и что в них указать?

Рассказывает:

Алексей Филатов,

старший юрист компании i-legal

Чтобы обезопаситься от риска привлечения к ответственности, оператору персональных данных необходимо документально фиксировать моменты, связанные с обработкой персональных данных. Для этих целей можно использовать договорные оговорки о защите персональных данных.

Зачем включать в договоры оговорки о персональных данных

Изначально оговорки необходимы, чтобы гарантировать соблюдение прав субъектов персональных данных. Субъекты доверяют оператору информацию о себе, а оператор для достижения целей обработки передает персональные данные третьим лицам, на которых субъект никак не может повлиять.

Требования о необходимости фиксации таких гарантий вытекают из ч. 1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон № 152-ФЗ). В ней указано:

Во избежание негативных последствий для субъектов оператор обязан регламентировать передачу персональных данных третьим лицам, а также удостовериться в том, что такие лица соблюдают требования Закона № 152-ФЗ.

Соответственно, если оператор не включит в договор оговорки о передаче персональных данных, то такая передача будет являться нарушением прав субъектов персональных данных. Факт неправомерной передачи персональных данных, повлекший нарушение прав субъектов, является «утечкой». А об утечке нужно уведомлять Роскомнадзор (ч. 3.1 ст. 21 Закона № 152-ФЗ).

В судебной практике пока нет примеров, когда из-за отсутствия оговорок оператора привлекли к ответственности. Но Роскомнадзор периодически выписывает предписания по устранению таких нарушений в рамках профилактических мероприятий, проверок и т.д.

Наиболее вероятная ответственность за отсутствие оговорок или нарушение их положений предусмотрена ч. 1 ст. 13.11 КоАП (обработка, не предусмотренная законодательством). Штраф: для компаний – от 60 000 до 100 000 рублей, для должностных лиц – от 10 000 до 20 000 рублей.

Не стоит забывать и об обязанности возместить моральный вред в случае нарушения прав субъектов персональных данных (ч. 2 ст. 24 Закона № 152-ФЗ).

Чем передача персональных данных отличается от поручения

Передачу персональных данных следует отличать от поручения на обработку персональных данных.

Поручение на обработку персональных данных. Его подписывают оператор и лицо, которому поручена обработка персональных данных (далее – обработчик), если:

• оператор может сам обрабатывать персональные данные для достижения предусмотренной цели обработки, но по каким-либо причинам принял решение делегировать (полностью или в какой-либо части) функцию своему контрагенту-обработчику;
• действия обработчика с персональными данными неразрывно связаны с достижением цели обработки персональных данных, определенной оператором. При этом именно оператор определяет порядок обработки персональных данных субъекта (действия, сроки обработки и т.д.)

Примеры: делегирование на аутсорсинг бухгалтерского учета, кадрового документооборота, поиска соискателей и т.д.

Передача персональных данных. Оговорки необходимы, когда передача персональных данных происходит между двумя самостоятельными операторами. Самостоятельность оператора определяется наличием у него собственной отдельной цели для обработки персональных данных.

Передача персональных данных между двумя самостоятельными операторами, при которой необходимо наличие оговорок, может иметь место при:

⇒ заключении и исполнении договоров, в том числе:

• при указании персональных данных подписанта в договоре. Указав информацию о подписанте (ФИО, должность, реквизиты доверенности и т.п.), оператор автоматически передает персональные данные контрагенту;
• при указании персональных данных работника в договоре. Часто в договорах указываются данные о лице, с которым необходимо связаться для выставления актов, счетов и т.п. Так оператор передает контрагенту данные о своем работнике;
• при переписке работника с контрагентом. По мнению Минцифры, коммуникация между работниками компаний в рамках заключения и исполнения договора является передачей персональных данных этих работников. Если работник осуществляет коммуникацию с иностранным лицом, находящимся заграницей, то в таком случае имеет место трансграничная передача персональных данных. Подконтрольный министерству Роскомнадзор может занять такую же позицию. В связи с этим оператор будет нести ответственность за неправомерную передачу персональных данных работника и неуведомление Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных;

⇒ передаче персональных данных в банк для оформления зарплатного проекта для работников. Банк оказывает уникальные B2B-услуги компании (компания не может самостоятельно сама себе открыть зарплатный проект, она вынуждена привлечь банк), а также B2C-услуги ее работникам. В данном случае поручение на обработку персональных данных не применимо, поскольку у банка есть собственная цель обработки – оказание банковских услуг работникам.

Некоторые из примеров выше применимы к абсолютному большинству договоров: в каждом договоре есть подписант, по каждому из них ведется переписка. Все это указывает на повсеместную необходимость включения оговорок в тексты соглашений.

Как сформулировать оговорки

В законодательстве нет четких требований к содержанию оговорок. Но с учетом опыта взаимодействия с Роскомнадзором рекомендуем:

• Укажите о возможности передачи персональных данных субъектов в рамках договора с целью заключения, исполнения или расторжения договора, а также обеспечения прав и законных интересов сторон и соблюдения законодательства. Данное положение ограничивает сторону, принимающую персональные данные, в том, как использовать персональные данные, которые она получила. Этим фиксируется, что принимающая сторона не вправе использовать персональные данные в целях, которые не указаны в оговорке. Например, данные не могут использоваться для рассылки рекламных СМС-сообщений.
• Закрепите обязанность сторон принимать все необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, представления, распространения персональных данных, а также иных неправомерных действий. Это одно из ключевых положений оговорок, обязательное для формального соблюдения требований ч. 1 ст. 19 Закона № 152-ФЗ.
• Укажите на право принимающей стороны привлекать к обработке персональных данных третьих лиц (например, лиц, оказывающих услуги хостинга, поддержки информационных систем, аудиторские услуги и т.д., а также иных юридических лиц, входящих в группу компаний) при соблюдении последними конфиденциальности и безопасности персональных данных. Это позволит законно передавать персональные данные иным лицам для достижения целей обработки. С целью контроля за привлечением третьих лиц у передающей стороны должно быть зафиксировано право запрашивать информацию о том, кому были переданы персональные данные субъектов.
• Включите обязанность получающей стороны ограничить доступ своих работников к персональным данным, переданным в рамках договора. Доступ должны иметь только те работники, чьи должностные обязанности совпадают с целями обработки. Если такие работники были переведены на другую должность или уволены, то их доступ к персональным данным должен быть прекращен.
• Укажите на обязанность сторон информировать друг друга об утечке и ином инциденте с переданными персональными данными (в том числе предполагаемом). Обязанность должна содержать временные ограничения на информирование другой стороны (например, 24 часа в соответствии с требованиями ч. 3.1. ст. 21 Закона № 152-ФЗ).
• Зафиксируйте обязанности сторон предоставлять друг другу всю необходимую информацию в целях соблюдения Закона № 152-ФЗ, в том числе запрашиваемую в рамках ответа на законный запрос Роскомнадзора или суда. Во избежание спорных ситуаций стоит зафиксировать конкретные сроки, в которые стороны должны предоставить запрашиваемую информацию.
• Закрепите гарантии законности передачи персональных данных передающей стороной, в том числе наличие согласия субъекта или иного законного основания для передачи и обработки персональных данных.

• Закрепите права получающей стороны обрабатывать персональные данные в течение всего срока действия договора и срока исковой давности (если иное не вытекает из природы правоотношений). Кроме того, необходимо включить положения о том, что по окончании данного срока, стороны обязаны уничтожить полученные в рамках договора персональные данные субъектов.
• Укажите об обязанности возместить все убытки, полученные одной из сторон в случаях, когда другая нарушила положения оговорки.

Стороны могут зафиксировать меры ответственности в случае нарушения оговорки: неустойку, право пострадавшей стороны расторгнуть договор в одностороннем порядке и т.д.

Такие положения об ответственности необходимы для поддержания договорной дисциплины, у сторон появляются рычаги давления на контрагентов в случае, если те не выполняют положения оговорки или выполняют частично.